Инструкция Chrome Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку

Алгоритм устранения проблем с GPO

Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers». Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.

Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики

В моем случае, это путь root.pyatilistnik.org/Client Computers.

Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта», по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.

Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена», ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».

Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено», означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:

  • Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
  • Параметры конфигурации пользователя отключены (User configuration settings disabled)
  • Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта

Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект

Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».

Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.

Способ 5 восстановить настройки групповой политики

Суть метода заключается в удалении файлов с настройками групповой политики и повторное создание файла с нуля.

Инструкция:

  1. Зажать Win + R, ввести cmd и нажать Ввод.
  2. Добавить в консоль команду RD /S /Q «%WinDir%\System32\GroupPolicyUsers».
  3. Затем ввести RD /S /Q «%WinDir%\System32\GroupPolicy».
  4. После удаления файлов следует обновить настройки командой gpupdate /force.
  5. Перезапустить компьютер.

Один из способов поможет обойти или исправить неправильные настройки групповой политики

Важно понимать, что режим повышенной безопасности в корпорациях установлен не просто так. Подобные действия стоит выполнять только на домашнем компьютере

Дома лучше начинать исправление проблемы со второго и третьего способа, они наиболее эффективны и просты в реализации.

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

21

5

  1. Сергей 02.04.2019 в 21:18

    Спасибо автору. Помог способ 3.

  2. Андрюха из Днепра 11.04.2019 в 21:27

    Автору респект! Мне так же помог 3-й способ! Спасибо!

  3. Леха из Екб 21.04.2019 в 21:00

    Автор спасибо

  4. Татьяна 11.05.2019 в 20:11

    Спасибо огромное!!! Прочитав комментарии, сразу попробовала третий способ, получилось! Респект!

  5. Сакен 16.05.2019 в 15:01

    аналогично, помог третий способ

  6. Саша 24.06.2019 в 14:35

    Автору огромное спасибо,столько нервов было пока пытался разобраться сам)

Последние

  • Как исправить ошибку лицензии в Minecraft Earth?…

  • Избавляемся от ошибки 4000 при обновлении iPhone…

  • Ошибка 9006 в программе iTunes — как исправить?…

  • Ошибка 910 в Google Play: причины и решения…

  • ТОП 5 необычных гаджетов от Xiaomi…

  • ТОП 5 лучших VPN-сервисов для вашего смартфона…

  • Как с помощью смартфона нас могут обмануть мошенники…

  • My NBA 2K20: подробный гайд, советы, стратегии…

  • NBA 2K20: 5 вещей, которые нужно учитывать перед создан…

  • 7 лайфхаков для качественных снимков на смартфон…

Популярное

  • Скачать патч версии 1.0.1103.2 «Торговля оружием» для G…

  • Проверка SSD-дисков и восстановление MicroSD-карт…

  • Как исправить ошибку «NVIDIA Installer Cannot Cont…

  • Как исправить ошибку 30015-6 (-1) при установке MS OFFI…

  • Методы решения ошибки javascript error mutations are no…

  • Карта сайта

Специализация

Системных администраторов можно разделить на несколько категорий:

Администратор веб-сервера — занимается установкой, настройкой и обслуживанием программного обеспечения веб-серверов.Как правило, работает в хостинговой компании. Необходимы знания Unix-систем (главным образом Linux и FreeBSD), умение конфигурировать веб-сервер Apache и почтовые сервера (qmail, Sendmail, Exim, Postfix), которые установлены на более чем 90% web-серверовво всем мире; дополнительно веб-сервер IIS и ОС семейства Windows Server. Обязательно глубокое понимание модели OSI, стека протоколов TCP/IP.

Администратор базы данных

— специализируется на обслуживании баз данных.

Нужны глубокие знания СУБД (как минимум одной из MySQL, PostgreSQL, MS SQL, Oracle, Informix, Firebird), операционной системы, на которой работает база данных (Windows Server, *nix (главным образом Linux/FreeBSD) или Solaris), знание особенностей реализации баз данных, а также знание информационно-логического языка SQL.

Администратор сети

— занимается разработкой и обслуживанием сетей.Необходимы глубокие познания в области сетевых протоколов (стек TCP/IP, IPX) и их реализации, маршрутизации, реализации VPN, системах биллинга, активного сетевого оборудования (как правило, Cisco), физическом построении сетей (Ethernet, Token ring, FDDI, 802.11).

Системный инженер (или системный архитектор)

— занимается построением корпоративной информационной инфраструктуры на уровне приложений. Работает, как правило, в аутсорсинговой компании либо крупной компании, корпорации. Нужны знания распространённых ОС (Windows NT, Windows 2000, Windows XP, Linux, FreeBSD, Mac OS); службы каталогов Active Directory, Lotus Domino, LDAP; распространённые СУБД, почтовые, groupware, веб-серверы, CRM, ERP, CMS, системы документооборота — связью которых в контексте бизнес-процессов и занимается.

Администратор безопасности сети

— занимается, соответственно, проблемами информационной безопасности, документированием политик безопасности, регламентов и положенийоб информационных ресурсах. Работает, как правило, в аутсорсинговой компании либо крупной компании, корпорации.Требуются знания протоколов шифрования и аутентификации и их практическом применении (VPN, RADIUS, SSL, IPsec, RAS), планировании PKI, системах контроля доступа (брандмауэры, прокси-сервера,смарт-карты, CheckPoint, SecurID), инцидентном анализе, резервном копировании.

Системный администратор малой компании

(от 5 до50 рабочих мест) — занимается поддержанием работоспособности небольшого парка компьютерной техники и обслуживанием сети. Не имеет помощников и выполняет все обязанности, связанные с компьютерамии коммуникациями,в том числе техническую поддержку пользователей. В компаниях, занимающихся разработкой программного обеспечения обслуживает Web-сервера, программы, используемые разработчиками. Также могут тестировать разрабатываемое компанией программное обеспечение.

Требуется знание ОС от Microsoft, офисных и бухгалтерских программ типа Microsoft Office и 1° C, умение прокладывать локальную сеть, начальные знания баз данных и языков программирования.

К чему применяется групповая политика GPO

Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра

Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:

  • что реестр есть как для объекта компьютер
  • и реестр есть для объекта пользователь

Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:

Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики. Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам

Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.

Суть ошибки при установке Хрома

Если вчитаться в сообщение, можно понять, что причина в настройках групповой политики. Обычно их настраивает системный администратор. Главная цель установки таких настроек заключается в защите корпорации от проникновения сторонних программ

Это очень важно для предотвращения заражения коммерческих и государственных сетей. Со сторонними программами в систему могут проникнуть вирусы, а это чревато потерей миллионов долларов

Не менее важная цель – повышение работоспособности сотрудников. Администраторы предотвращают установку развлекательных приложений.

Не редкость и появление ошибки на компьютерах, предназначенных для домашнего использования. Здесь путаницы больше, так как пользователь выступает и администратором.

Что провоцирует ошибку:

  • Скорее всего причина банальна – неправильно установленные программы на компьютере. Они изменяют параметры реестра и групповой политики. Битые настройки как раз и приводят к ошибкам. Особенно часто неисправность появляется после установки AVG PC TuneUp;
  • Повреждение реестра Windows;
  • Системный сбой.

Время перейти ко способам исправления ошибки «групповая политика, которая не позволяет выполнить установку».

Результаты групповой политики

В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.

Выбираем нужный компьютер, к которому мы хотим проверить применение политики.

Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.

Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.

Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.

Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.

Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики». В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».

На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.

Далее вам будет предложен выбор, дабы указать нужный контроллер домена.

Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»

Нажимаем далее.

На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:

  • Медленное сетевое подключение, меньше 500 кб/с
  • Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
  • Выбор сайта.

Указываем в какой группе находится наш объект, к которому будет применяться политика.

далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.

Нажимаем далее.

В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.

На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.

Мар 17, 2019 09:00

  • Последние записи

    • Как создать RAID массив через MegaCli
    • Как создать RAID массив через Storcli
    • Как создать raid через LSI Storage Authority
    • Максимальная производительность SSD на LSI контроллерах
    • Поиск одинаковых SamAccountName в лесу Active Directory

Способ 2 удаление нескольких параметров реестра

Данный метод позволяет изменить настройки некоторых параметров групповых политик. После их изменения система начнёт лояльнее относиться к установке ПО.

Как настроить реестр:

  1. Одновременно нажать на клавиши Win + R.
  2. В новой строке ввести слово regedit и нажать Enter.
  3. В редакторе реестра следовать по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\.
  4. Проверить наличие подраздела Installer. Если он есть, следует удалить каталог и все значения из него.
  5. Повторить пункт 3 и 4, но изначально выбрать ветку HKEY_CURRENT_USER – все остальные каталоги идентичны.
  6. Закрыть утилиту редактирования и перезапустить ПК.

Теперь установка должна пройти без проблем.

Диагностика GPO через gpresult

Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:

gpresult /r /scope:user (Для пользователя) gpresult /r /scope:computer (Для компьютера) Gpresult /r /z (Полный отчет) Gpresult /r /z > c:\gpresult.txt (Экспорт в файл)

В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.

Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:

Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:

Local Group Policy Не применяется (пусто) Управление UIPI Отказано (безопасность)

А вот пример 5313, но с уже WMI фильтром:

Следующие объекты групповой политики не были применены, так как они были отфильтрованы:

Local Group Policy Не применяется (пусто) Управление UIPI Отказано (фильтр WMI)

Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.

Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.

Начнется сбор применяемых политик.

По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.

Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:

GPResult /h c:\report.html /f

На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.

Ссылка на основную публикацию